Tag: hack

Gehackte insulinepomp levert fatale dosis aan patient

  door

Informatiebeveiliging is natuurlijk voor veel mensen een ver-van-mijn-bed-show. Met name grote organisaties worden aangevallen en we hebben daar zelf weinig last van. Toch? Totdat hacking wel erg dichtbij komt. Je zult maar suikerpatiënt zijn, dan is het toch fijn om de risico’s te kennen.

Een beveiligingsonderzoeker heeft een manier ontdekt om insulinepompen te hacken, waardoor het mogelijk is een fatale dosis aan suikerpatiënten te geven. Het probleem bevindt zich in de insulinepompen van fabrikant Medtronic, die over een radiozender beschikken waardoor patiënten en doktoren de instellingen kunnen aanpassen. De aanval werkt over een afstand van honderd meter en laat de onderzoeker alle apparaten binnen dit gebied overnemen. Vervolgens kan Jack het apparaat het gehele insulinereservoir naar de patiënt laten pompen.

Fabrikant Medtronic laat weten dat het de veiligheid van de medische apparaten gaat verbeteren. Het risico op een aanval zou volgens het bedrijf echter klein zijn. (bron)

Erg prettig om te weten dat het bedrijf het risico op een aanval klein acht. Helaas zit risico management blijkbaar nog niet goed tussen de oren van deze onderneming. Risico management bestaat immers uit twee variabelen, te weten: kans en impact. De risico management strategie wordt dan vervolgens weer afgeleid uit de uitkomst. De praktijk wijkt hier toch wel erg ver af van de theorie.

In gewoon Nederland acht men de kans op een dergelijke aanval klein. Hartstikke goed, dat kan zo zijn, maar de impact is enorm. Er staan mensenlevens op het spel. Wil je dat als management op je geweten hebben? Lijkt me toch van niet.

Helaas is dit een bericht dat waarschijnlijk te beperkt aandacht zal krijgen in de media. Het zal er niet sexy genoeg voor zijn, er zijn niet genoeg mensen die dit willen weten en er zijn nog geen slachtoffers gevallen. Wat zou het toch mooi zijn als meer organisaties nadenken over de preventieve kant van beveiliging en niet wachten tot ze gedwongen worden de correctieve acties in te zetten.

Tiener aangeklaagd wegens hacken schoolsite

  door

Een 15-jarige Canadese jongen is aangeklaagd wegens het hacken van een schoolsite en het onthullen van de wachtwoorden van 27.000 scholieren. De jongen werd door politie opgepakt en is aangeklaagd wegens het onderscheppen van een computerfunctie, het op frauduleuze wijze verkrijgen van een computerdienst, het gebruik van een computer met de bedoeling om een computermisdrijf te plegen en het gebruik van een wachtwoord om een computermisdrijf te plegen. Hiervoor zou de jongen een maximale gevangenisstraf van tien jaar kunnen krijgen (bron).

Deze jongen hoeft in ieder geval niet te vrezen voor de aankomende examens en leren hoeft hij ervoor al helemaal niet. Niet omdat hij de examens alvast gestolen heeft maar omdat hij waarschijnlijk dan al achter de tralies zit. Dat computer criminaliteit hard gestraft wordt is natuurlijk alleen maar een goede zaak. Maar staan de straffen nog wel in verhouding tot de straffen in de analoge wereld? Ik heb geen zicht op de straffen die normaliter in Canada worden uitgedeeld, maar als we het even naar Nederland kopiëren dan is een dergelijke straf al snel vele jaren meer dan een straatroof of overval. De vraag is natuurlijk wat erger is. Persoonlijk heb ik liever dat zo’n jongen de school hackt dan dat hij me op straat beroofd, maar goed dat zal wel iets persoonlijks zijn.

En denk nu niet: dit is Canada, dat gebeurt hier niet. Nee het grote verschil is dat het hier niet openbaar wordt gemaakt. Ook hier is nog veel te doen aan het beveiligen van de netwerken van scholen, maar zolang we onze kop in het zand steken denken alle schooldirecteuren dat het wel mee zal vallen.

Een goed idee zou zijn om het Ministerie van Onderwijs te laten verplichten om alle scholen periodiek een vulnerability scan te laten doen. Zo komen ze er achter waar de tekortkomingen zitten en waarom sommige scholieren misschien ineens zulke hoge cijfers scoren.

Beveiliging op scholen, er is nog veel te doen. Niet alleen als het gaat om informatiebeveiliging maar ook als het gaat om fysieke beveiliging. Het is bijna wachten op nieuwsberichten waarin weer een geflipte scholier zijn mede scholieren aanvalt.

Onderschatting, zo kunnen we het wel noemen. De scholen moeten hierin veel meer verantwoordelijkheid nemen. Zij zijn verantwoordelijk voor het welzijn van de scholieren binnen hun scholengemeenschap. Maar goed, zoals gezegd moet er eerst nog meer fout gaan voordat we ons daarop zullen richten.

Hacker laat BP geheime informatie lekken

  door

Na de olielek heeft BP nu nog met andere lekken te maken.

Via slechts twee telefoontjes is het een hacker gelukt om te achterhalen welke laptops, besturingssystemen, virusscanners en virtual private network software BP gebruikt…Informatie zoals browser, gebruikte Adobe versie of wie het afval ophaalt zijn interessant voor een aanvaller. “Als we kwaadaardige hackers waren geweest, hadden we ze naar een website met een kwaadaardig bestand kunnen sturen, dat de persoon in kwestie waarschijnlijk had gedownload”, aldus Chris Hadnagy van Offensive Security, organisator van de wedstrijd (Bron).

BP heeft het zwaar te verduren de laatste tijd en ze zijn daar zelf deels debet aan. Ben je ook zo benieuwd hoelang BP nog langs de snelweg aanwezig zal zijn of wanneer ze geheel en al vergeten de geschiedenisboeken ingaan? Een lastige situatie en als we het dan toch hebben over de continuïteit van een organisatie dan heeft BP nog wel wat robbertjes te vechten.

De andere kant van de medaille is natuurlijk dat als ze hier uitkomen dan zijn ze voor de andere olieleveranciers nooit meer te verslaan. Een crisis kan leiden tot faillissement maar er zijn ook veel gevallen bekend van crisissen die leiden tot een sterke onverslaanbare organisatie. De crisis is dan snel vergeten en de naam van de organisatie staat bij iedereen op het netvlies.

Slechte reclame is ook reclame zullen we maar zeggen. Het kan wat mij betreft met BP dus twee kanten op en ik ben zeer benieuwd welke kant ze kiezen. Kiezen, vraag je je af? Heeft een organisatie dan een keuze na een crisis? Ja zeker wel, het gaat er om hoe je er mee omgaat, daar zijn inmiddels vele onderzoeken naar gedaan en volgens mij heeft BP de lessons learned daaruit nog niet echt in de praktijk gebracht. Maar goed, misschien staan ze 6-0 achter, dat wil niet zeggen dat ze ook daadwerkelijk zullen verliezen.

We houden het natuurlijk allemaal in de gaten en voor de onderzoekers is er straks weer een interessante business case over het omgaan met een crisis. Helaas voor het natuurschoon en de dieren in de Golf van Mexico, maar zij zullen de (hoge) prijs moeten betalen.

Eeuwig zonde, of althans voor de duur dat de troep niet is opgeruimd en dat zal jaren duren. Vreemd overigens dat er voor allerlei rampen gironummers in het leven worden geroepen maar dat we de troep nu aan BP over laten…ach, dat zal wel aan mij liggen.

Ook je boordcomputer is te hacken

  door

Een Amerikaans team computerwetenschappers kan de boordcomputer van moderne auto’s kraken. Met deze hack willen ze de auto-industrie wijzen op het belang van een degelijke beveiliging…De wetenschappers sloten een laptop aan op de testauto en experimenteerden met verschillende commando’s. De software werd draadloos bediend via een andere laptop die zich in een tweede rijdende wagen bevond.

De resultaten zijn verrassend. Zo kunnen de remmen uitgeschakeld worden, ongeacht hoe hard op het rempedaal wordt getrapt. De achterklep en de motorkap kunnen geopend worden, de deuren en de radio bediend en de snelheidsmeter aangepast (bron).

Welk merk auto de onderzoekers hebben gebruikt willen ze niet zeggen, nou, mag ik een gokje wagen? Ik hou het op Toyota.

En wij maar denken dat de Japanners, met Toyota voorop, aan het bezuinigen zijn op de kwaliteit van de producten die ze leveren waardoor de remmen niet meer werken en het gas automatisch naar de hogere regionen gaat. Niets is minder waar, de Japanners (de uitvinders van de kwaliteitscontrole) leveren nog steeds kwalitatief hoogwaardige producten…nee er zijn gewoon wat Toyota’s gehackt door een pukkelige scriptkiddie (tenminste dat is mijn aanname). Nu bij Toyota de lol er een beetje af is richt hij zich op Lexus. Benieuwd welk volgend auto merk aan de beurt is.

Een pak van mijn hart dat de Japanse producten kwalitatief gewoon nog goed zijn en alleen maar haperen als ze gehackt zijn…hoef ik in ieder geval geen nieuwe breedbeeld, flatscreen 4D TV te gaan kopen.

Pacemakers niet goed beveiligd tegen hackers

  door

De medische apparaten waar wereldwijd miljoenen mensen van afhankelijk zijn, zoals pacemakers, insulinepompjes en monitoringsystemen, zijn niet goed beschermd tegen hackers. Toch is deze apparatuur steeds vaker met allerlei netwerken verbonden en daarbij is niet aan de beveiliging gedacht (bron).

Dachten we dat we problemen hadden met het Elektronisch Patienten Dossier? Dan lijken me dit problemen die we eerder aan moeten pakken. Wat heb je liever? Dat men je dossier in kan zien of dat men op afstand je pacemaker stop kan zetten? Ja, het is kiezen uit twee slechte opties.

Aanvallers zouden pacemakers kunnen uitschakelen en zelfs kunstmatige ledematen kunnen overnemen.

De vraag is waarom beveiliging in dit soort medische apparatuur niet is meegenomen. Ontbreekt de kennis of is men niet bereid om kosten te dragen voor beveiliging?

Beveiliging, zoals encryptie en authenticatie, moet al in de ontwikkelingsfase worden meegenomen. Misschien moet er een keurmerk komen voor veilige medische apparatuur.